출처 : http://www.boannews.com/media/view.asp?idx=42281&page=1&kind=2&search=title&find=
정통망법 개정·개인정보보호 의무 제재 강화·법정손해배상제 도입
개인정보 화두, 개인정보의 안전한 활용 빅데이터와 잊혀질 권리
[보안뉴스=방송통신위원회 엄열 과장] 최근 대규모 개인정보 누출사고가 빈번하게 발생하고 있다. 올해 상반기에만 크고 작은 개인정보 누출사고들이 언론에 줄지어 보도되면서 개인정보보호에 대한 국민적 관심이 증대되었다.
개인정보보호 강화, 정보통신망법 개정
국회에서도 그간 제19대 국회에 발의되어 계류중이었던 개인정보 관련「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’이라 한다) 개정안들을 병합·심의하여 본회의 의결했고, 연내 시행을 앞두고 있다.
이번 개정 정보통신망법은 다양한 내용을 담고 있지만, 그 핵심은 개인정보 보호의무 위반에 대한 제재 및 피해구제 강화라 할 수 있다.
개인정보 보호의무 위반에 대한 제재 강화
방송통신위원회는 이용자의 개인정보보호 및 개인정보 자기결정권 강화를 위해 지속적으로 법·제도 개선을 추진해 왔다. 2013년에는 개인정보 누출기업에 대한 제재를 강화하기 위해 정보통신망법 개정안을 마련하여 공청회를 개최하기도 하였는데, 이번 국회를 통과한 개정 정보통신망법에 일부 포함되어 있다.
개인정보 누출사고 예방을 위해서는 개인정보의 기술적·관리적 보호조치 준수가 중요하다. 기술적·관리적 보호조치는 정보통신망법 제28조에서 규정하고 있는데, 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영, 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치, 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치 등을 하도록 규정하고 있다.
현행 정보통신망법은 정보통신서비스 제공자등에게 개인정보의 기술적·관리적 보호조치를 취하도록 규정하면서 기술적·관리적 보호조치를 하지 아니하여 개인정보가 누출된 경우 1억원 이하의 과징금을 부과하도록 규정하고 있다. 즉, 현행법상 개인정보가 누출된 경우 정보통신서비스 제공자 등에게 과징금을 부과하기 위해서는 개인정보 누출의 원인이 위와 같은 기술적·관리적 보호조치를 취하지 않았기 때문이라는 것을 방송통신위원회가 입증해야 하는 구조다.
그러나 현실적으로 개인정보 누출의 원인이 기술적·관리적 보호조치를 취하지 않았기 때문이라는 것을 명확하게 입증하는 것은 어려우며, 과징금을 부과한다 하더라도 과징금 상한액이 1억원으로 금액이 작아 제재 효과가 미흡하다는 문제가 있어 왔다.
방송통신위원회는 이와 같은 문제를 개선하기 위해 개인정보 누출사고의 발생과 기술적·관리적 보호조치를 하지 않았다는 두 가지 사실이 있으면 위반행위와 관련한 매출액 1% 이하의 과징금을 부과할 수 있도록 정보통신망법 개정을 추진하고 있었다. 이번에 국회를 통과한 개정 정보통신망법은 이같은 내용을 반영하고 과징금의 상한을 방송통신위원회의 개정안보다 강화하여 위반행위와 관련한 매출액 3% 이하의 과징금을 부과할 수 있도록 규정하고 있다.
또한, 개인정보의 취급위탁이 보편화되면서 수탁자에 의한 개인정보 침해사고 발생이 증가하고 있는 상황이다. 이를 방지하기 위해 개정 정보통신망법은 위탁자가 수탁자에 대한 관리·감독을 소홀히 하여 수탁자가 정보통신망법상의 개인정보 보호 규정을 위반한 경우 위탁자에게 위반행위와 관련한 매출액 3%이하의 과징금을 부과할 수 있도록 규정하고 있다.
앞으로 정보통신서비스 제공자 등은 개인정보 취급위탁시 개인정보 취급위탁의 필요성, 수탁자의 선정 및 관리·감독 등을 면밀하게 검토하여 신중하게 추진할 필요가 있다.
현행 정보통신망법 제29조제1항은 개인정보의 수집·이용 목적 달성이나 개인정보의 보유 및 이용기간이 끝난 경우 지체없이 개인정보를 파기하도록 하고, 이를 위반하는 경우 ‘3000만원 이하의 과태료’를 부과하도록 규정하고 있다. 그런데 이번 개정 정보통신망법은 개인정보 파기는 복구·재생할 수없도록 하고 이를 위반하는 경우 ‘2년 이하의 징역 또는 2000만원 이하의 벌금’으로 처벌이 강화됐다.
피해구제 강화를 위한 법정손해배상제의 도입
개인정보 침해사고의 경우 권리침해는 명확하나, 그 손해액의 입증이나 산정이 어려워 피해자가 손해배상을 받지 못하거나 정신적 손해에 대한 배상액 산정의 명확한 기준이 없어 법원마다 배상액이 일정하지 않았다. 이를 개선하기 위해 법정손해배상제의 도입에 대한 논의가 있어 왔으며, 이번 개정 정보통신망법에 법정손해배상 규정이 신설됐다.
법정손해배상제도는 권리 침해로 인한 손해를 입증하지 않더라도 법률에 규정된 손해배상액의 규정에 근거하여 배상을 받을 수 있도록 하는 제도로, 침해사실만 있으면 사실상 손해가 발생하지 않더라도 손해배상을 받을 수 있다.
개정 정보통신망법은 정보통신서비스 제공자등이 정보통신망법상 개인정보 보호 규정을 위반하고, 개인정보가 분실·도난·누출된 경우 이용자가 300만원 이하의 범위에서 손해배상청구를 할 수 있도록 규정하고 있다. 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 않는 한 손해배상책임을 면할 수 없기 때문에 사전에 개인정보 누출사고가 발생하지 않도록 개인정보 보호조치를 강화하는 것이 무엇보다 중요하다.
법정손해배상제의 도입은 이용자의 피해구제 강화뿐만 아니라, 간접적으로 정보통신서비스 제공자 등에게 개인정보보호에 대한 주의를 환기시키는 계기가 될 것이다.
개인정보의 화두, 빅데이터와 잊혀질 권리
빅데이터, 개인정보의 안전한 활용
이용자의 개인정보가 침해되거나 악용되는 것은 당연히 막아야 하며, 개인정보보호는 매우 중요하다. 그러나 개인정보보호를 위해 과도한 규제를 하는 것은 창조경제 성장의 걸림돌이 될 수 있으며, 개인정보의 무분별한 활용은 창조경제 성장 기반의 안정성을 저해하게 된다. 결국 개인정보의 보호와 활용 간에 균형을 잃지 않고 개인정보의 안전한 활용이 가능한 환경을 조성하는 것이 창조경제 활성화의 전제조건이라 할 수 있다.
불과 몇 년 전만 해도 빅데이터는 하나의 추상적 개념에 불과했으나 최근 기업들은 방대한 개인정보를 적극적으로 활용해 맞춤형 서비스를 내놓는 등 사업자에게 중요한 요소로 대두하고 있다.
방송통신위원회는 이러한 정보통신 환경의 변화에 대응하여 2013년부터 ‘빅데이터 가이드라인’의 제정을 추진하고 있다. ‘빅데이터 가이드라인’은 개인정보의 오·남용을 방지하면서 빅데이터 산업의 활성화를 위해 현행 법체계 내에서 정보주체의 사전 동의 없이 수집·이용이 가능한 개인정보의 범위를 구체적으로 규정하는 것을 주요내용으로 하고 있다.
지난 ‘빅데이터 페어 2013’에서 가이드라인 초안을 공개한 이후, 전문가 및 시민단체 등의 의견수렴을 거쳐 현재 가이드라인을 최종 검토 중에 있다. 연내에 최종 가이드라인의 내용을 확정하고 공개할 수 있을 것으로 예상한다.
‘잊혀질 권리’ 제도화?
잊혀질 권리(Right to be forgotten)는 2012년 1월 발표한 EU의 General Data Protection Regulation(안)에 규정되면서 구체적인 논의가 시작된 것으로 볼 수 있다. 잊혀질 권리에 대한 명확한 정의는 없으나 대개 ‘인터넷상에서 잠재적으로 나타나 있는 자신과 관련된 정보를 포함하는 각종 자료의 삭제를 요구하며 해당 자료로부터 자유로워질 수 있는 권리’로 파악하고 있다.
국내에서는 지난 2013년 2월, 이노근 의원이 잊혀질 권리를 도입하고자 정보통신망법 개정안을 발의하였고, 최근 2014년 5월 13일 유럽사법재판소(ECJ)에서 구글 이용자는 시효가 지났거나 부적절한 구글 검색결과에 대해 삭제를 요구할 권리가 있다고 인정하면서 다시 잊혀질 권리 인정 및 국내 도입에 대한 논의가 촉발됐다.
하지만 잊혀질 권리 인정을 위한 국내 제도화 논의 이전에 이미 정보통신망법에 잊혀질 권리의 내용이 상당부분 규정되어 있다는 것을 고려할 필요가 있다. 정보통신망법 제30조에 따라 이용자는 언제든지 동의철회를 통해 자신의 개인정보 삭제요구를 할 수 있으며, 제44조의2는 사생활 침해나 명예훼손 등의 이유로 해당 정보의 삭제 및 반박내용의 게재 요구가 가능하도록 규정하고 있다.
또한, 잊혀질 권리를 전면적으로 인정하기 위해서는 해결해야 할 과제가 남아있다. 잊혀질 권리의 행사 및 객체의 범위가 불확실한 문제가 있으며, 잊혀질 권리를 인정한다 하더라도 현재 기술수준에서는 완벽하게 구현할 수 없는 한계가 존재한다. 그리고 잊혀질 권리를 인정하게 되면 알권리, 표현의 자유 등 헌법상의 기본권과 충돌문제가 발생할 우려가 있다.
잊혀질 권리의 제도화는 EU에서도 찬반양론이 팽팽하게 맞서고 있으며, 국내에서도 선결해야 할 과제가 산적해 있는 등 단기간 내에 추진하는 것은 어려운 상황이다. 방송통신위원회는 잊혀질 권리에 대한 논의를 주도하고 국민적 합의를 바탕으로 정책을 추진해 나갈 것이다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 개인정보보호법 위반 행정처분 결과 공표제도 (0) | 2014.08.08 |
|---|---|
| [정리] 주민등록번호 수집 금지 제도 가이드라인 (2) | 2014.08.08 |
| [기사] 개인정보보호 관리체계(PIMS) 인증 취득 가이드 (0) | 2014.07.31 |
| [기사] 효과적인 정보보호 조직 구성을 위한 소고 (0) | 2014.07.28 |
| [기사] 개인정보 유출사고 대응 시 주의사항 5가지 (0) | 2014.07.28 |
